Titelbild CSOC Meetup und Managed SOC_ mit Geschäftsführer Mitgliedern und Christian Schmickler

Erstes HUB-Mitgliedertreffen des CSOC

Erstes HUB-Mitgliedertreffen des CSOC

Fazit: Ein gelungener Austausch zwischen SOC-Experten, Mitgliedern und Interessierten

Begrüßung des Meetups durch Christian Schmickler vom Cyber Security Cluster Bonn

Das lange geplante HUB-Mitgliedertreffen des CSOC feierte am 22. Mai 2019 Premiere! Ausgerichtet wurde es in den Räumlichkeiten der dhpg Bonn. Hintergrund der Zusammenkunft war der konstruktive Austausch zwischen den bereits aufgeschalteten Mitgliedern respektive Interessenten und unseren IT-Experten. Neben einer Revue des vergangenen CSOC-Jahres sowie einem Ausblick auf technische Neuerungen stand auch die Einholung von Feedback auf der Agenda: Stellt das Dashboard aktuell schon alle wünschenswerten Informationen bereit? Gibt es Vorschläge für neue Schnittstellen? Eingeleitet wurde das Meetup durch Gastredner Christian Schmickler vom Cyber Security Cluster Bonn, bei dem auch die dhpg und synalis Mitglied sind.

Cyber Security Cluster Bonn: Vision und Schwerpunkte

Zuerst hat Herr Schmickler das Wort und erklärt auf unserem Meetup die Vision und die sechs Schwerpunkte des Cyber Security Clusters Bonn. Als „Gravitationszentrum“ in Bezug auf die Bekämpfung von Cybercrime beschreibt er das Cyber Security Cluster Bonn, dass es sich zum Ziel gemacht hat, „Herz der Cyber Security in Europa“ zu werden. Die Tatsache, dass das Thema der Cybersicherheit in der ehemaligen Bundeshauptstadt jetzt schon groß geschrieben wird, zeige sich neben der wachsenden Mitgliederzahl im Cyber Security Cluster schließlich auch an den zahlreichen Veranstaltungen, wie selbiger Tag beweise.

Sechs Schwerpunkte hat das Cluster für sein Wirken und die Herausforderungen festgelegt:

    1. Awarenessveranstaltungen
    2. Inkubator für IT-Security Startups / Förderung von Innovationen
    3. Wise Council of Cyber Security Experts mit deutschlandweiten Vertretern
    4. Secure Digital City Bonn (Idee: Cyber Security soll anwendbar gemacht werden mittels Showroom oder sogar einem Stadtteil, um Innovationen für Bürger erlebbar zu machen. Wegen der konkreten Umsetzung ist das Cyber Security Cluster Bonn aktuell noch im Gespräch mit der Stadt.)
    5. Kooperative Aus-/ Weiterbildung
    6. Kooperative Forschung / Publikation

Wo sich die Idee des Cyber Security Clusters Bonn im CSOC widerspiegelt

Eine wesentliche Parallele zum CSOC as a Service, einem Gemeinschaftsprojekt der dhpg und synalis, zieht er im nächsten Schritt: Genau wie das Cyber Security Cluster Bonn als „Armee der Guten“ durch zunehmende Mitgliederzahl Kompetenzen und Wissen bündelt und der Gemeinschaft zur Verfügung stellt, so ist der CSOC-HUB ein Zusammenschluss von KMU, welche von der Vernetzung miteinander profitieren. Während der Benefit beim Cluster Bonn im offenen Wissensaustausch äußert, liegt der Gewinn beim CSOC im Teilen auffälliger Eventdaten: Bei einem Mitglied erkannte kritische Werte stehen der gesamten Mitgliedergemeinschaft anonymisiert zur Verfügung.

Das Konzept: Das CSOC von heute und morgen

CSOC 2.0: Mehr Analysedaten, mehr Machine Learning

CSOC Commander in Chief Andreas Lau gibt in seiner Begrüßung einen Überblick über die bisherige Struktur der Lösung für Cybersicherheit. Er fasst noch einmal zusammen, welche Leistungen das CSOC im Einzelnen kennzeichnen und hält fest, dass es Hauptaufgabe im SOC sein wird, auf bestehende und kommende Trends zu reagieren wie etwa die stete Zunahme von Cloud-Diensten. Er beleuchtet auch die Entwicklungen der Cybercrimer selbst: Während Ransomware weniger häufig detektiert wird, steigen Angriffe durch Kryptomining und Phishing-Mails. Positive Erkenntnis: Die Dwell Time – die Zeit zwischen Kompromittierung und Detektion – nehme spürbar ab. Das Ziel des Cyber Security Operations Centers sei, den Service noch auszuweiten.

Markus Müller, ebenfalls CSOC Commander in Chief, skizziert im Folgenden, wie das Managed SOC seine Serviceleistung konkret ausbauen und optimieren will. Während die Analyse sich momentan noch auf den Datenverkehr beschränkt, sind zukünftig weitere Bereiche geplant:

Stufe 1: NIDS (Network Intrusion Detection System) für den Datenverkehr

Stufe 2: Log-Daten (Eventdaten aus Firewall und Virenscanner für einen größeren Datenpool und genauere Analyse)

Stufe 3: Client / Server (Eventdaten von Client und Server, um Verhaltensmuster erkennen zu können für zielgerichtetere Reaktionen)

Ein großer Schritt werde laut Markus Müller der vermehrte Einsatz von Machine Learning zur Datensammlung und -auswertung sein, was aktuell noch überwiegend manuell geschehe. Die KI soll Fehlalarme vermeiden und schnellere und aussagekräftigere Analysen erzeugen.

Langfristig geplant sind unter anderem das Monitoring neuer Systemumgebungen, die Umgestaltung des Kundendashboards sowie ein 24 / 7-Service. Die nächste Anpassung wird voraussichtlich im August 2019 erfolgen in Form eines Dashboards mit Livedaten.

Feedback erwünscht: Über diese Anpassungen würden sich die Mitglieder freuen

In den beiden Workshops erarbeiten die HUB-Mitglieder im Anschluss potenzielle Verbesserungschancen hinsichtlich Dashboard und Schnittstellen.
In Planung ist eine Umstellung im Bereich Daten-Visualisierung und interaktive Dashboards. Die Mitglieder begrüßen die anstehenden Änderungen und bringen ihrerseits Vorschläge wie etwa die Differenzierung in rollenbasierte Dashboards oder die Möglichkeit dessen individueller Mitgestaltung.

Bei den Schnittstellen geben die Mitglieder ebenfalls Tipps ab zur Nutzeroptimierung, beispielsweise den Vorschlag, in der CSOC-Konsole auch weitere Security-Dashboards wie etwa vom Windows Defender zu bündeln, um alle sicherheitsrelevanten Daten auf einen Blick einsehen zu können, ohne verschiedene Dashboards aufrufen zu müssen.

Die gesammelten Ergebnisse werden aktuell aufbereitet und anschließend detailliert an alle Teilnehmer des CSOC-Meetups verschickt.

Abschluss: Munterer Mitgliederaustausch auf der Dachterrasse

Im Anschluss an die Workshops ziehen die Teilnehmer des Meetups um auf die Dachterrasse der dhpg, auf der im abendlichen Sonnenschein Würstchen und Grillfleisch verzehrt werden. Hier startet der informelle Teil der Veranstaltung, der den offenen Austausch zwischen SOC-Experten und den Mitgliedern untereinander fördert und damit ganz im Gedanken des HUB steht. Natürlich sind auch für das nächste Geschäftsjahr weitere Veranstaltungen angedacht.